China likhokahano tsohle tsa HTTPS tse sebelisang protocol ea TLS 1.3 le katoloso ea TLS ea ESNI (Encrypted Server Name Indication) e fanang ka encryption ea data mabapi le moamoheli ea kopiloeng. Thibelo e etsoa ho li-routers tsa lipalangoang bakeng sa likhokahano tse thehiloeng ho tloha China ho ea lefats'eng le kantle, le ho tloha kantle ho naha ho ea China.
Ho thibela ho etsoa ka ho lahlela lipakete ho tloha ho mofani ho ea ho seva, ho e-na le phetoho ea pakete ea RST eo pele e neng e etsoa ke SNI content-selective blocking. Ka mor'a ho thibela pakete e nang le ESNI e tsosoa, lipakete tsohle tsa marang-rang tse lumellanang le motsoako oa mohloli oa IP, sebaka sa IP le nomoro ea boema-kepe ea ho etela li boetse li koetsoe bakeng sa 120 ho metsotsoana ea 180. Lihokelo tsa HTTPS tse ipapisitseng le liphetolelo tsa khale tsa TLS le TLS 1.3 ntle le ESNI li lumelloa ka mokhoa o tloaelehileng.
A re hopoleng hore e le ho hlophisa mosebetsi atereseng e le 'ngoe ea IP ea libaka tse ngata tsa HTTPS, ho ile ha ntlafatsoa katoloso ea SNI, e fetisang lebitso la moeti ka mongolo o hlakileng oa molaetsa oa ClientHello o fetisitsoeng pele o theha mocha oa puisano o patiloeng. Karolo ena e etsa hore ho khonehe ka lehlakoreng la mofani oa Marang-rang ho khetha sephethephethe sa HTTPS le ho sekaseka libaka tseo mosebelisi a li bulang, tse sa lumelleng ho fihlela lekunutu le felletseng ha o sebelisa HTTPS.
TLS e ncha e atolositsoeng ECH (eo pele e neng e le ESNI), e ka sebelisoang hammoho le TLS 1.3, e felisa bofokoli bona 'me e felisa ka ho feletseng ho tsoa ha tlhahisoleseding e mabapi le sebaka se kopiloeng ha ho hlahlojoa li-connections tsa HTTPS. Hammoho le ho fihlella ka marang-rang a ho fana ka litaba, tšebeliso ea ECH / ESNI e boetse e etsa hore ho khonehe ho pata aterese ea IP ea mohloli o kōptjoang ho mofani. Sistimi ea tlhahlobo ea sephethephethe e tla bona likopo feela ho CDN mme e ke ke ea khona ho etsa kopo ea ho thibela ntle le ts'ebetso ea ts'ebetso ea TLS, moo ho tla bontšoa tsebiso e lumellanang mabapi le setifikeiti sa spoofing ho sebatli sa mosebelisi. DNS e ntse e le mocha o ka bang teng oa ho lutla, empa moreki a ka sebelisa DNS-over-HTTPS kapa DNS-over-TLS ho pata phihlello ea DNS ke moreki.
Bafuputsi ba se ba ntse ba le teng Ho na le li-workaround tse 'maloa tsa ho tlola block ea Machaena ka lehlakoreng la moreki le seva, empa li kanna tsa fetoha tse se nang thuso mme li lokela ho nkuoa e le mohato oa nakoana feela. Mohlala, hajoale ke lipakete feela tse nang le ID ea katoloso ea ESNI 0xffce (encrypted_server_name), e neng e sebelisoa ho , empa hajoale lipakete tse nang le sesupo sa hajoale 0xff02 (encrypted_client_hello), e hlahisitsoeng ho .
Tsela e 'ngoe ea ho sebetsa ke ho sebelisa mokhoa o sa tloaelehang oa puisano, mohlala, ho thibela ha ho sebetse haeba pakete e eketsehileng ea SYN e nang le nomoro ea tatellano e fosahetseng e romelloa esale pele, ho qhekella ka lifolakha tsa ho arohana ha pakete, ho romela pakete ka bobeli FIN le SYN. lifolakha tse behiloeng, ho emisoa ha pakete ea RST e nang le chelete e sa nepahalang ea taolo kapa ho romela pele puisano ea khokahanyo ea pakete le lifolakha tsa SYN le ACK e qala. Mekhoa e hlalositsoeng e se e kentsoe ts'ebetsong ka mokhoa oa plugin bakeng sa sesebelisoa sa lisebelisoa , ho tlola mekhoa ea ho hlahloba.
Source: opennet.ru